对于(XSS)跨站点脚本:DOM,我遇到了严重的 Fortify 扫描问题。 以下是我的代码。 data 是html,我必须按原样显示返回的HTML内容。 我该如何解决?
$.get("somelink.html",
{
id : id,
},
function(data)
{
$("#elementid").html(data);
}
我无法对 data 进行编码,因为我需要按div所示显示返回的内容。 如果我缺少明显的地方,请告诉我。
<h2>Heading</h2>
< table>
<tr><td>Number:</td><td>13256467</td></tr>
<tr><td>Certificate:</td><td><a href="…">LINK</a></td></tr>
<tr> <td>Attachments:</td> <td> </td> </tr>
< /table>
答案 0 :(得分:0)
我也有同样的问题,$(“#elementid”)。innerHTML = data;效果很好,但在最新的强化扫描更新中,它仍在抱怨。 我看到的唯一解决方案是使用通过测试的.textContent,但是显示响应时,我们在HTML上松了手。